В частности, 8 апреля 2014 г. Суд ЕС вынес решение по объединенным делам С-293/12 и С-594/12, отменив Директиву 2006/24/ЕС Европейского парламента и Совета от 15 марта 2006 г. о сохранении данных, генерируемых или обрабатываемых в ходе оказания общедоступных услуг электронной коммуникации или функционирования публичных коммуникационных сетей (так называемая Data Retention Directive). Данная Директива, в сущности, распространяла свое действие на обработку «данных о данных», т. е. метаданных. Основанием для признания Директивы не имеющей юридической силы с даты ее принятия послужило то, что содержание Директивы фактически противоречит важному принципу европейского права: ограничение основополагающих прав граждан допустимо лишь при условии соблюдения принципа пропорциональности[4]. Таким образом, расширенный сбор и долгосрочное хранение метаданных были признаны незаконными.
Также ограничены сроки хранения – 6 месяцев для поисковых запросов[5] – и установлено требование об обеспечении самоуничтожения данных по прошествии определенного срока техническими средствами (privacy by design).
1.1.7. Правовое обеспечение защиты данных
Если обобщить положения нормативных правовых актов, то ими устанавливаются ограничения на сбор данных: ex ante и ex post.
Положения ex ante устанавливают необходимость уведомления о целях, для которых необходима передача данных, а также согласование любого дальнейшего использования данных (исключая случаи, когда оно осуществляется с согласия субъекта данных или иным образом в соответствии с действующим законодательством и соответствуют четким целям). Положения ex post нацелены на постоянный контроль обеспечения надежности данных (в том числе уведомление о факте обработки таких данных, о доступе к ним и о возможности внесения исправлений в поврежденные/неточные сведения личного характера). В эту же категорию следует отнести группу норм, устанавливающих порядок хранения и обработки данных, включая процедуры защиты от утери уничтожения и несанкционированного раскрытия. Любое использование или раскрытие должно быть зарегистрировано, а в случае любого несанкционированного использования или раскрытия субъект данных должен быть уведомлен об этом.
Итак, к превентивной мере можно отнести требование ст. 17 Директивы 95/46/ЕС к оператору по осуществлению надлежащих технических и организационных мер для защиты персональных данных от случайного или неправомерного разрушения либо от случайной потери, от изменения, несанкционированного раскрытия или доступа, в частности, когда обработка включает передачу данных по сети, и от всех иных неправомерных форм обработки.
Далее, превентивной мерой являются требования раздела IX Директивы 95/46/ЕС, касающиеся обязательств уведомить надзорный орган. Так, согласно ст. 18 оператор или его представитель, если таковой имеется, должен уведомить надзорный